Stel je voor: je opent je inbox en ziet een dringend bericht van je bank. Ze beweren dat je rekening is gecompromitteerd en dat je je gegevens onmiddellijk moet verifiëren. Je hart gaat tekeer als je op de link klikt, klaar om je zuurverdiende geld te beschermen. Maar wacht, ben je zojuist gevallen voor een van de oudste trucs uit het boek?
Ik heb me hier onlangs in verdiept en ik was verbaasd over hoe geraffineerd oplichtingsmails zijn geworden! De dagen dat oplichterspraktijken met een slechte spelling of duidelijke Nigeriaanse prinsenplannen gemakkelijk te herkennen waren, zijn voorbij. De valse e-mailadressen van tegenwoordig kunnen bijna niet meer van echt te onderscheiden zijn.
Er zijn verschillende manieren om te zien of een e-mail nep is, maar geen enkele is waterdicht. Je moet een combinatie van technieken gebruiken en zelfs dan weet je het niet 100% zeker. Maar je kunt er aardig in de buurt komen. Van het ontleden van e-mailheaders tot het begrijpen van de psychologie achter deze phishingaanvallen, we behandelen alles wat je moet weten om je inbox - en je identiteit - veilig te houden.
De basis: Het mogelijk valse e-mailadres van de afzender onderzoeken
Om een oplichter te pakken te krijgen, moet je denken als een oplichter. De meeste oplichters beginnen met een eenvoudig doel: je verleiden tot een bepaalde actie, of dat nu klikken op een link, een bijlage downloaden of het delen van je persoonlijke en financiële gegevens is. Maar hoe krijgen ze je zover? Het antwoord ligt in een combinatie van psychologie en technische trucs.
Laten we beginnen met de eenvoudigste techniek: kijken naar het e-mailadres zelf.
Domein-imitaties herkennen
Controleer eerst het domein van de e-mail. Als je een e-mail verwacht van een gerenommeerd bedrijf, moet het domein overeenkomen met de officiële website van het bedrijf. Een e-mail van Amazon moet bijvoorbeeld komen van @amazon.com, niet @amaz0n.com.
Spammers gebruiken technieken zoals typosquatting, waarbij ze domeinen registreren die erg lijken op legitieme domeinen. Ze registreren bijvoorbeeld gooogle.com (met drie o's) en gebruiken dit om phishingmails te versturen die lijken te komen van Google.
Subdomeinen: Laat u niet misleiden
Een andere veelgebruikte truc is om subdomeinen te gebruiken om een vals adres legitiem te laten lijken. Bijvoorbeeld, "paypal.secure-login.com" kan er op het eerste gezicht uitzien alsof het van PayPal komt, maar "secure-login.com" is hier het eigenlijke domein. Kijk altijd naar het rootdomein (het deel net voor de .com, .org, etc.) om de echte afzender te bepalen.
Zoek naar misleidende weergavenamen
Oplichters kunnen de weergavenaam in een phishingmail manipuleren om het te laten lijken alsof de e-mail van een bekende afkomstig is.
Voorbeeld: Een e-mail kan afkomstig lijken te zijn van "Amazon Customer Support", maar het werkelijke e-mailadres is iets als [email protected].
Hoe te controleren: Beweeg met de muis over de displaynaam of klik erop om het echte e-mailadres te zien. Dit laat vaak de echte bron van de e-mail zien en kan snel aangeven of de e-mail legitiem is of niet.
De truc van Unicode
Bij deze slimme truc worden tekens uit niet-Latijnse alfabetten gebruikt die er identiek uitzien als standaardletters. De cyrillische "а" (U+0430) lijkt bijvoorbeeld precies op de Latijnse "a", maar stelt oplichters in staat om een ander domein te registreren.
Voorbeeld: Legitiem e-mailadres: apple.com Gespoofde scam-e-mail: аpple.com (zie je het verschil? Er is er visueel geen!)
Als je het niet zeker weet, kun je het adres kopiëren en plakken in een Unicode-inspector om te controleren op niet-standaard tekens. Dit zal alle niet-standaard tekens onthullen.
Willekeurige tekens in het valse e-mailadres
Iets anders waar je naar moet zoeken in het valse e-mailadres zijn willekeurige reeksen cijfers of letters. Echte e-mailadressen hebben deze zelden, tenzij het automatisch gegenereerde adressen zijn voor specifieke doeleinden. Als je een e-mail ziet van [email protected], is het waarschijnlijker dat deze nep is dan een van [email protected].
Maar nogmaals, dit is geen harde en snelle regel. Sommige mensen gebruiken willekeurige getallen in hun e-mailadressen, vooral als ze een gemeenschappelijke naam hebben en hun adres van anderen moeten onderscheiden.
Het veld Reply-To
Het volgende dat onderzocht moet worden is het "reply-to" adres. Dit vertelt je e-mailprogramma waar antwoorden naartoe moeten worden gestuurd.
Waarom het belangrijk is
Bij legitieme e-mails is het reply-to adres meestal ingesteld op hetzelfde domein als de afzender. Als het anders is, vooral als het een gratis e-mailservice is, is dat een waarschuwingsteken. Oplichters moeten vaak een ander reply-to adres gebruiken omdat ze geen controle hebben over het domein dat ze spoofen.
Voorbeeld: Een e-mail lijkt afkomstig te zijn van [email protected], maar het 'Reply-To' adres kan zijn ingesteld op [email protected].
Hoe te controleren
In Gmail kun je het reply-to adres zien door op de dropdown pijl naast de naam van de afzender te klikken. In andere e-mailclients moet je misschien eerst een antwoord schrijven om het te kunnen zien. Als het reply-to niet overeenkomt met de afzender, wees dan voorzichtig.
Soms nemen oplichters niet eens de moeite om het reply-to veld te veranderen. In plaats daarvan voegen ze tekst toe in de e-mailtekst waarin ze je vragen om naar een ander adres te antwoorden. Dit is al even verdacht.
Authenticatie-indicatoren: De technische controles
Nu komen we bij de meer technische dingen. Maak je geen zorgen als dit in het begin ingewikkeld lijkt, als je eenmaal weet waar je op moet letten, is het niet zo moeilijk.
Wat zijn authenticatie-indicatoren?
Dit zijn controles die controleren of een e-mail daadwerkelijk afkomstig is van het domein waarvan het beweert afkomstig te zijn.
SPF, DKIM en DMARC
De drie belangrijkste soorten authenticatie-indicatoren zijn:
- SPF (Sender Policy Framework): Hiermee wordt gecontroleerd of het IP-adres van de afzender geautoriseerd is om e-mails voor dat domein te versturen. Als een e-mail afkomstig is van een server die niet op deze lijst staat, is deze waarschijnlijk nep.
- DKIM (DomainKeys Identified Mail): DKIM is als een fraudebestendige verzegeling voor e-mails. Het voegt een digitale handtekening toe aan uw e-mails om te bewijzen dat de e-mail echt van u afkomstig is en niet onderweg naar de ontvanger is gewijzigd.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): Het DMARC-beleid bouwt voort op SPF en DKIM en stelt domeineigenaren in staat om aan te geven hoe om te gaan met verdachte e-mails die deze controles niet doorstaan. Het biedt ook een manier voor ontvangers om terug te rapporteren aan afzenders over e-mails die deze controles wel of niet doorstaan.
Hoe ze te controleren
Helaas wordt in de meeste e-mailclients belangrijke verificatie-informatie niet duidelijk weergegeven, waardoor het voor gebruikers lastiger is om snel te controleren of een e-mail legitiem is.
Sommige, zoals Gmail, tonen 'gemaild door' en 'ondertekend door' informatie direct in de e-mailweergave, waardoor je een snelle indicatie krijgt van de echtheid van de e-mail. Voor een grondigere controle kunt u de volledige e-mailheaders bekijken.
Klik in Gmail op de drie puntjes naast de antwoordknop en selecteer "Origineel weergeven" om de gedetailleerde resultaten van SPF- en DKIM-controles te bekijken.
Waar moet je op letten?
Voor grote gerenommeerde organisaties zoals Google, Apple, Microsoft, etc., zou je moeten zien dat ze alle drie (SPF, DKIM, DMARC) doorkomen. Voor kleinere bedrijven zouden in ieder geval SPF en DKIM moeten voldoen.
Fouten op dit gebied zijn erg verdacht voor vermeende e-mails van grote organisaties. Dat gezegd hebbende, het slagen voor deze controles garandeert niet dat een e-mail veilig is. Het betekent alleen dat de e-mail echt afkomstig is van het domein dat wordt geclaimd. Een oplichter kan een nepdomein opzetten met de juiste verificatie. U moet dus nog steeds controleren of het het juiste domein is dat u verwacht.
Maar het lezen van e-mailheaders is niet eenvoudig. Ze staan vol met technische informatie die de meeste mensen niet begrijpen. En spammers weten dit, dus zijn ze beter geworden in het vervalsen van headers die er legitiem uitzien.
De "Via"-aanwijzing
Als je een e-mail krijgt, zie je meestal bovenaan het e-mailadres van de afzender. Soms zie je ook het woord "via" gevolgd door een andere domeinnaam naast het adres van de afzender. Dit gebeurt wanneer de server die de e-mail verzendt niet hetzelfde is als het getoonde e-mailadres.
Voorbeeld: Stel, je krijgt een e-mail die er als volgt uitziet:
Van: [email protected] via xyz.com
In dit geval beweert de e-mail afkomstig te zijn van PowerDMARC, maar wordt hij eigenlijk verzonden via xyz, een e-mailmarketingservice.
Daar zijn legitieme redenen voor. Veel bedrijven gebruiken e-maildiensten om nieuwsbrieven of promotiemails te versturen. Oplichters kunnen deze truc echter ook gebruiken om hun e-mailaccounts er officiëler uit te laten zien.
Phishing-zwendel voorkomen met PowerDMARC!
Rode vlaggen voor inhoud: Wat staat er eigenlijk in de e-mail?
Hoewel technische controles belangrijk zijn, kan soms de inhoud van de phishing-e-mail zelf de grootste verklikker zijn. Oplichters zijn experts in het manipuleren van emoties en het creëren van scenario's die aanzetten tot onmiddellijke actie. Deze tactiek staat bekend als "social engineering". Door een gevoel van urgentie te creëren of een beroep te doen op uw verlangen naar financieel gewin, hopen ze u zover te krijgen dat u persoonlijke informatie vrijgeeft of op schadelijke koppelingen klikt.
Typische phishing scam e-mails beweren dat:
- Je hebt een aanzienlijke som geld gewonnen.
- Uw account is in gevaar gebracht en onmiddellijke actie is vereist.
- De levering van een pakket is mislukt en je moet een nieuwe afspraak maken.
- Er is een dringende factuur of bedrijfsaanvraag in behandeling.
Deze phishingmails zijn zo ontworpen dat ze er legitiem uitzien en kunnen zelfs bekende logo's, lettertypen en lay-outs gebruiken. Het doel is om je snel te laten reageren zonder kritisch na te denken over de authenticiteit van de e-mail.
Urgentie en bedreigingen
Cybercriminelen weten dat angst en urgentie tot snelle actie kunnen leiden. Valse e-mails kunnen proberen je bang te maken en een gevoel van urgentie te creëren: "Uw account wordt gesloten als u uw betalingsgegevens niet onmiddellijk bijwerkt"; u opwinden, bijvoorbeeld "Gefeliciteerd! Je hebt $100.000 gewonnen! Klik hier om je prijs te claimen"; of creëer een gevoel van natuurlijke nieuwsgierigheid ("Kijk wie je profiel heeft bekeken"). Dit soort phishingaanvallen is bedoeld om je rationele denkvermogen te omzeilen.
Als je zo'n phishing-e-mail ontvangt, denk dan even na. Is het logisch dat een legitiem bedrijf je via e-mail bedreigt? De meeste echte organisaties gebruiken deze tactieken niet. En als u niet hebt meegedaan aan een prijsvraag of loterij, is het onwaarschijnlijk dat u die zou winnen. Onthoud dat legitieme organisaties geen grote sommen geld weggeven via ongevraagde e-mails.
Als je zo'n phishing-e-mail ontvangt, neem dan rechtstreeks contact op met het bedrijf via een geverifieerde contactmethode om te controleren of de e-mail legitiem is.
Verzoeken om gevoelige informatie
Legitieme bedrijven vragen over het algemeen niet om gevoelige informatie via e-mail. Als een e-mail je vraagt om te antwoorden met je persoonlijke gegevens, accountgegevens, burgerservicenummer of creditcardgegevens, dan is het bijna zeker nep.
Onverwachte bijlagen
Veel scammers gebruiken vaak kwaadaardige bijlagen om malware of virussen af te leveren, die je computer kunnen infecteren en je persoonlijke gegevens kunnen stelen. Als je een onverwachte bijlage ontvangt, vooral als het een .zip-bestand is of een ongebruikelijk bestandstype zoals .exe, .scr of .vbs, wees dan zeer voorzichtig. Zelfs schijnbaar onschuldige bestandstypen zoals PDF's of Word-documenten kunnen schadelijke macro's bevatten.
Wat te doen met verdachte bijlagen:
- Open ze niet: Als je een onverwachte bijlage ontvangt, open deze dan niet tenzij je zeker weet dat het van een betrouwbare bron komt.
- Gebruik antivirussoftware: Zorg ervoor dat je antivirussoftware up-to-date is en gebruik deze om bijlagen te scannen voordat je ze opent.
Grammatica, spelfouten en inconsistenties
Slechte grammatica en meerdere fouten kunnen een rode vlag zijn, hoewel ze niet waterdicht zijn (sommige legitieme e-mails bevatten ook fouten). Oplichters hebben de taal waarin ze schrijven niet altijd goed onder de knie, of ze gebruiken opzettelijk gebroken grammatica als filter om meer kritische ontvangers te weren (mensen die grammaticale fouten opmerken en erdoor afgeschrikt worden, trappen minder snel in een phishingpoging). Daarom is een van de makkelijkste manieren om een vals e-mailadres te herkennen het controleren op grammatica, spelling en grammaticale fouten.
Legitieme bedrijven hebben speciale teams die ervoor zorgen dat hun communicatie professioneel en foutloos is. Ze hebben meestal consistente, professioneel ogende e-mailsjablonen. Als een e-mail die beweert van een groot bedrijf te komen er amateuristisch uitziet of een inconsistente opmaak heeft, kan het nep zijn.
"Beste klant" of "Hallo gebruiker" kunnen ook een dood spoor zijn. Legitieme bedrijven spreken je meestal aan met je naam, omdat ze je gegevens in hun bestand hebben. Nepmails gebruiken vaak algemene begroetingen omdat ze massaal worden verstuurd.
Niet-passende koppelingen
Een van de meest gebruikte tactieken door scammers is het insluiten van kwaadaardige links in e-mails. Deze verdachte links leiden vaak naar onverwachte nepwebsites die zijn ontworpen om je inloggegevens te stelen of je apparaat te infecteren met malware.
Voorbeeld: De tekst van een kwaadaardige link in een e-mail kan"www.yourbank.com" zeggen, maar als je er met de muis overheen gaat, is de werkelijke URL iets heel anders, zoals"www.scamsite.com/login". Dit wordt een gemaskeerde of verborgen URL genoemd.
Links verifiëren
Dat kan:
Beweeg de muis over de link
Plaats je cursor over de link zonder erop te klikken. Dit toont de werkelijke URL-bestemming. Als het er verdacht uitziet of niet overeenkomt met de officiële website, klik er dan niet op. In plaats van op een link te klikken, typ je de naam van het bedrijf in een zoekmachine om hun officiële website te vinden. Wees echter voorzichtig, spammers kunnen URL-verkorters of andere technieken gebruiken om de echte bestemming van een link te verbergen. En bij sommige e-mailclients kun je niet met de muis over de ingesloten koppelingen bewegen om te zien waar ze naartoe gaan.
Zoeken naar HTTPS
Legitieme websites hebben meestal een URL die begint met `https://` en een hangslotpictogram. Dit is echter niet waterdicht, want oplichters kunnen hun kwaadaardige websites ook beveiligen.
Valse pakketbezorgers
Met de toename van online winkelen, hebben scammers gebruik gemaakt van valse berichten over pakketbezorging om mensen te verleiden op kwaadaardige links te klikken.
Voorbeeld: "Uw pakket afleverpoging is mislukt. Klik hier om een nieuwe afspraak te maken."
Wat te doen:
- Controleer het e-mailadres van de afzender: Controleer of de e-mail afkomstig is van het officiële domein van het verzendbedrijf (bijvoorbeeld `@fedex.com` of `@ups.com`).
- Log direct in op je account: Ga in plaats van op links te klikken direct naar de website van het bedrijf om je pakket te volgen.
Voorbeelden van phishing-zwendel
Laten we een paar voorbeelden bekijken om te zien hoe deze principes in de praktijk worden toegepast.
De klassieke PayPal-fraude
Van: [email protected] Onderwerp: Je account is gelimiteerd! Body: Geachte gewaardeerde klant, We hebben ongewone activiteit op uw account opgemerkt. Klik op de onderstaande link om uw gegevens te verifiëren en de volledige toegang tot uw account te herstellen. [LINK]
Rode vlaggen:
- Domein spoofing (paypal.com.secure-account.com)
- Dringende onderwerpregel
- Algemene begroeting
- Verzoek om op een link te klikken en informatie in te voeren
De geraffineerde CEO-fraude
Van: [email protected] Onderwerp: Dringende overschrijving nodig Body: [Naam werknemer], ik wil dat je een dringende overschrijving verwerkt voor een nieuwe acquisitie. Dit is tijdgevoelig en vertrouwelijk. Maak alstublieft onmiddellijk $50.000 over naar de volgende rekening: [REKENINGGEGEVENS].
Laat het me weten als het klaar is.
[Naam CEO]
Rode vlaggen:
- Dringend verzoek om geld
- Druk voor snelle actie
- Verzoek om vertrouwelijkheid
- Ongebruikelijk verzoek van een hoge leidinggevende
Dit soort zwendel, bekend als Business Email Compromise (BEC), heeft bedrijven miljarden dollars gekost. Vaak wordt de e-mailaccount van een leidinggevende gecompromitteerd of vervalst om frauduleuze overboekingen aan te vragen.
De legitieme e-mail die er nep uitziet
Je ontvangt een e-mail van een klein bedrijf waar je al eerder zaken mee hebt gedaan. De verificatiecontroles komen niet door en de e-mail bevat een paar typefouten. Je eerste ingeving zou kunnen zijn om het als spam te markeren.
Je merkt echter dat het adres van de afzender overeenkomt met eerdere correspondentie die je met dit bedrijf hebt gehad. De inhoud van de e-mail verwijst naar specifieke details over je laatste interactie met hen. In dit geval zou de e-mail, ondanks de mislukte controles, legitiem kunnen zijn - het kleine bedrijf heeft misschien gewoon geen goede e-mailverificatie ingesteld. Dit voorbeeld illustreert waarom het belangrijk is om meerdere factoren te overwegen, waaronder de context en je relatie met de afzender, en niet alleen technische controles.
De grenzen van deze controles
Het is goed om te weten dat zelfs als een e-mail door al deze controles komt, deze theoretisch nog steeds kwaadaardig kan zijn als de account van de afzender gehackt is. Denk dus altijd kritisch na over de inhoud en of het logisch is dat het van die afzender komt.
Onthoud ook dat deze controles je vooral helpen om te controleren of een e-mail afkomstig is van wie hij beweert te zijn. Ze vertellen je niet noodzakelijkerwijs of de afzender zelf betrouwbaar is. Een oplichter kan een goed geverifieerd domein opzetten dat al deze controles doorstaat, maar toch wordt gebruikt voor kwaadaardige doeleinden.
Proactieve stappen om uzelf te beschermen tegen valse e-mails en phishingaanvallen
Je bewust zijn van de tekenen van valse adressen is slechts de helft van de strijd. Proactieve stappen ondernemen om jezelf en je organisatie te beschermen is net zo belangrijk.
Op de hoogte blijven van huidige zwendelpraktijken
De tactieken van valse e-mails veranderen voortdurend. Als u op de hoogte blijft van de huidige phishing-zwendel, kunt u nieuwe soorten valse e-mails herkennen. Veel organisaties publiceren regelmatig updates over nieuwe e-mailoplichting. Het Internet Crime Complaint Center(IC3) van de FBI publiceert bijvoorbeeld waarschuwingen over actuele cyberbedreigingen en zwendelpraktijken. Ook de Federal Trade Commission (FTC) biedt waardevolle inzichten in de nieuwste frauduleuze activiteiten. En als je er echt diep in wilt duiken, is er de Anti-Phishing Working Group(APWG), die zich specifiek richt op phishing-zwendel.
Kijk ook uit voor AI-gegenereerde scams en voice phishing (vishing). Kunstmatige intelligentie maakt het makkelijker voor oplichters om op grote schaal overtuigende, gepersonaliseerde phishingberichten te maken. Ondertussen combineren sommige scammers deze e-mailtactieken met spraak- en telefoongesprekken, vaak met behulp van AI om stemmen te klonen, waardoor een complexere en mogelijk geloofwaardige scam ontstaat. Deze techniek, bekend als vishing, voegt een auditief element toe aan traditionele phishing-aanvallen, waardoor het voor potentiële slachtoffers nog moeilijker wordt om de waarheid te achterhalen.
Oplossingen voor het filteren van e-mail gebruiken
Geavanceerde spamfilters kunnen helpen bij het detecteren en blokkeren van valse e-mails voordat ze uw primaire inbox bereiken. Deze oplossingen maken gebruik van machine learning en kunstmatige intelligentie om e-mailinhoud, afzenderinformatie en andere metadata te analyseren om mogelijk schadelijke e-mails te identificeren.
Meldingsdienst datalekken
Gebruik legitieme diensten zoals Have I Been Pwned, Avast Hack Check om te zien of je e-mailadres betrokken is geweest bij een datalek.
E-mailverificatieprotocollen implementeren
Het gebruik van e-mailverificatieprotocollen zoals SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting, and Conformance) kan helpen om je domein te beschermen tegen spoofing.
Helaas is e-mailverificatie niet zo wijdverspreid als je zou hopen. Volgens sommige schattingen heeft meer dan 80% van de domeinen helemaal geen SPF-record. En van degenen die dat wel hebben, handhaven velen geen strikt beleid. DMARC, dat wordt beschouwd als de meest uitgebreide methode voor e-mailverificatie, wordt door nog minder domeinen gebruikt. Zelfs als deze beveiligingen aanwezig zijn, zijn ze niet altijd correct geconfigureerd.
Voor bedrijven die robuuste e-mailverificatie willen implementeren, biedt PowerDMARC een uitgebreide oplossing. Hun platform vereenvoudigt het proces van het instellen en beheren van DMARC-, SPF- en DKIM-records.
Belangrijkste kenmerken:
- DMARC recordgenerator: Eenvoudig DMARC-records maken en beheren.
- SPF Record Beheer: Optimaliseer uw SPF-records om e-mailspoofing te voorkomen.
- DKIM installatiehulp: Implementeer DKIM ondertekening voor uw domein met de DKIM generator tool.
- Forensische rapportage: Krijg gedetailleerd inzicht in mislukte e-mailverificatie.
- Informatie over bedreigingen: Identificeer potentiële bedreigingen voor het domein van uw bedrijf.
Door gebruik te maken van een service als PowerDMARC kunnen organisaties het risico dat hun domein wordt gebruikt in phishingaanvallen aanzienlijk verkleinen en zo zowel hun merkreputatie als hun klanten beschermen.
Blijf waakzaam
Oplichters ontwikkelen hun technieken voortdurend. Maar door zorgvuldig te kijken naar het afzenderadres, het reply-to veld en de verificatieresultaten, kun je de meeste valse e-mails onderscheppen. Zie deze methoden als hulpmiddelen om je natuurlijke scepsis te versterken, niet als vervanging. Ze zijn als de veiligheidsvoorzieningen in een auto - ze kunnen ongelukken helpen voorkomen, maar je moet nog steeds voorzichtig rijden. Als een e-mail verdacht lijkt, behandel hem dan ook als zodanig. Het is beter om af en toe een echte e-mail te negeren dan in een phishing-zwendel te trappen.
Onthoud dat niemand immuun is voor deze phishing-zwendel. Zelfs technisch onderlegde mensen kunnen voor de gek worden gehouden door een slimme vervalsing.